Debians sikkerhedsbulletin

DSA-2330-1 simplesamlphp -- XML-krypteringssvaghed

Rapporteret den:
27. okt 2011
Berørte pakker:
simplesamlphp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
Yderligere oplysninger:

Der blev fundet problemer i håndteringen af XML-krypteringen i simpleSAMLphp, en applikation til forenet autentifikation. Følgende to problemer er blevet løst:

Det var måske muligt, at anvende en SP som et orakel til dekryptering af krypterede meddelelser sendt til denne SP.

Det var måske muligt, at anvende SP'en som et nøgleorkal, hvilket kunne anvendes til at forfalske meddeleelser fra denne SP, ved at sende 300000-2000000 forespørgsler til SP'en.

Den gamle stabile distribution (lenny) indeholder ikke simplesamlphp.

I den stabile distribution (squeeze), er dette problem rettet i version 1.6.3-2.

Distributionen testing (wheezy) vil snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.8.2-1.

Vi anbefaler at du opgraderer dine simplesamlphp-pakker.